Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Like dokumenter
Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Arkiv skal ikkje førast ut or landet

KS FoU-prosjekt : Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Skytjenester (Cloud computing)

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Public 360 Online Datasikkerhet

Arkivet i skyen Serveren på månen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Nettskyen, kontroll med data og ledelsens ansvar

Databehandleravtale. Charlotte Lindberg Difi

Skyløsninger. Sikkerhet og leveransemodell

Oslo kommune Utdanningsetaten

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom

Skytjenester i skolen

Stian Estil IT TRENDER 2011

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Skytjenester bruk dem gjerne, men bruk dem riktig

Kan du legge personopplysninger i skyen?

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Cloud computing: Rettslige utfordringer ved bruk av nettskyen

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Tjenester i skyen hva må vi tenke på?

Direktoratet for e-helse viser til Kulturdepartementets høring på forslag til ny arkivforskrift, datert 18. oktober 2016.

Høring - ny forskrift om offentlige arkiver

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Arkivforskriften og skytjenester eller Kanskje vi åpner for arkivering i skyen snart?

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Skytjenester 1, Andre regler for skytjenester enn personvernreglene 2, Eksempel: Narvik

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Fagspesifikasjon. Krav til bruk av skytjenester

Skytjenester - utfordringer for Arkivverket og for offentlige organ underlagt arkivlova. Arkivloven

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Retningslinjer for databehandleravtaler

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Arkivsystemer med skyløsninger

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Prosedyre for personvern

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Må man være syk i hodet for å ha helseopplysninger i skyen?

Bruk av skytjenester og sosiale medier i skolen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Kravspesifikasjon Helseklage sak N2016/05346

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Din virksomhet skal også i skyen, er du forberedt?

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

ASKER. Temadag høsten Skytjenester

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Databehandleravtale etter personopplysningsloven

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Veiledning om skytjenester

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Nettskyen utfordringer og muligheter

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

3 Omfattede typer av personopplysninger og kategorier av registrerte

Regnskapet i skyen. Data ut av Norge? Hans Christian Ellefsen, NARF Statsautorisert revisor, CISA, CRISC

Anne Mette Dørum Spesialrådgiver KS Område forskning, innovasjon og digitalisering

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Smarte bygg og personvern

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Styret Helse Sør-Øst RHF 6. august 2018

Bilag 14 Databehandleravtale

NORID - Registrarseminar 26. april 2017

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Personvern i arkivene. Grunnleggende elementer og noen eksempler

Databehandleravtaler

Transkript:

KS FoU-prosjekt 144008: Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie April 2015 Advokatfirmaet Føyen Torkildsen -1-

1 Innledning Bruk av nettskyløsninger er i ferd med å etablere seg i offentlig sektor, men det er fremdeles uklare juridiske forhold ved anskaffelse og bruk. Leverandører av skytjenester er ofte store aktører som leverer standardiserte tjenester. KS Kommunesektorens organisasjon (heretter KS) har fått flere henvendelser fra kommuner og fylkeskommuner vedrørende kommuners bruk av skytjenester, og om det er lovlig og forsvarlig å ta slike tjenester i bruk. Advokatfirmaet Føyen Torkildsen har i den forbindelse fått i oppdrag å foreta en mulighetsstudie av de juridiske forholdene ved bruk av nettskyjenester i kommunal sektor. Den endelige rapporten er et resultat av en rekke juridiske undersøkelser samt svar på spørreundersøkelser som har blitt sendt ut til 30 kommuner og enkelte fylkeskommuner. I tillegg har det blitt utført dybdeintervju av tre kommuner og av fire leverandører av skytjenester. Hovedformålet med rapporten er å gi kommunal sektor forståelse for regelverket rundt skytjenester og gi praktiske råd om hvilke muligheter kommunal sektor har for å ta i bruk skytjenester. Innledningsvis må understrekes at det er et betydelig mulighetsrom for å ta i bruk nettskytjenester, men at dette kan gjøres enda større ved noen endringer i forvaltningspraksis, særlig hos Riksarkivaren. Under denne mulighetsstudien har det blitt fokusert på hva dagens lovverk faktisk tillater, og hva kommunene faktisk kan og bør gjøre for å oppfylle kravene i gjeldende lovgivning hvis de ønsker å bruke skytjenester. Videre tar rapporten for seg hvorvidt det er behov for endringer i lov-regelverk, og hvilke endringer i så fall dette bør være. Skytjenester er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Det er vanlig å skille mellom Software som tjeneste (Software as a Service), Plattform som tjeneste (Platform as a Service) og Infrastruktur som tjeneste (Infrastructure as a Service). Disse tjenestene kan leveres i form av offentlig tilgjengelig sky (Public Cloud), privat tilgjengelig sky) Private Cloud benyttes innenfor en bedrift eller et konsern), eller en hybrid sky (Hybrid Cloud som er en kombinasjon av de to andre leveranseformene). De juridiske og informasjonssikkerhetsmessige problemstillingene vil langt på vei være de samme, uavhengig av tjeneste- eller leveranseform, selv om de konkrete vurderingene og tiltakene som må iverksettes kan være forskjellige. 2 Juridiske utgangspunkter Felles for større anskaffelser innenfor både outsourcing av IT og skytjenester er at det er en rekke juridiske rammebetingelser som skal oppfylles. Spesielt skytjenester er for mange virksomheter «upløyd mark», og man vet ikke alltid hvilke forhold som skal vektlegges og dermed heller ikke hvor mye tid og innsats som må settes av til å gjøre de nødvendige vurderinger. I tillegg møter man ofte store leverandører med sterk markedsposisjon og ofte også en sterk overbevisningskraft. Hensikten med denne utredningen var å undersøke hvilke lover som er til hinder, eller som oppleves som et hinder for bruk av skytjenester, og hvorvidt det er behov for endringer i lovgivningen. -2-

Skytjenester har berøringspunkter med flere regelverk og reiser derfor flere komplekse juridiske problemstillinger. Rapporten tar for seg både forvaltningsloven, Lov om offentlige anskaffelser og GPA-avtalen, reglene om vern av personopplysninger, sikkerhetsloven, bokføringsloven og arkivloven. Den største juridiske utfordringen knytter seg til arkivloven og bokføringsloven. De øvrige regelverkene er i utgangspunktet ikke til hinder for bruk av skytjenester i kommunal sektor, men de stiller konkrete krav som må oppfylles. Det er viktig å påpeke at kommunene, før de tar i bruk en konkret skytjeneste, må foreta en tilstrekkelig risikovurdering i henhold til personopplysningsloven og personopplysningsforskriften. Det er også viktig at kommunene sikrer at de inngår en tilstrekkelig databehandleravtale med leverandøren av skytjenesten. Hva kommunene bør sikre at er regulert i en slik databehandleravtale fremgår av retningslinjene i den endelige rapporten. Arkivloven I følge arkivloven (LOV-1992-12-04-126) 9 bokstav b er utgangspunktet at offentlig arkivmateriale ikke kan føres ut av landet uten etter særskilt samtykke fra Riksarkivaren. Denne bestemmelsen får stor betydning for kommunens adgang til å ta i bruk skytjenester. Det kan stilles spørsmål ved i hvilken grad denne bestemmelsen - herunder unntakene ut fra det opprinnelige formålet med bestemmelsen passer på, og får anvendelse på bruk av skytjenester levert fra utlandet. Denne regelen ble til for mer enn 20 år siden det vil si i god tid før skytjenester i dagens form, eller databehandling og lagring i utlandet var en realitet. Riksarkivet rettet i september 2014 en henvendelse til Kulturdepartementet vedrørende lagring av elektroniske arkiver på servere i utlandet. Der fremgår det at Riksarkivet mener at på bakgrunn av arkivloven 9 bokstav b, kan arkiver ikke lagres på servere som befinner seg utenfor Norges grenser. Dette gjelder også sikkerhetskopier av arkiver. Slik regelverket er i dag, er det således, i følge Riksarkivets tolkning ikke mulig å bruke skytjenester for å lagre arkivverdig materiale. Så lenge arkivet og sikkerhetskopien av arkivet befinner seg i Norge, kan imidlertid andre kopier av arkivet befinne seg i utlandet. Denne uttalelsen fra Riksarkivet er etter vår oppfatning noe inkonsekvent, når de vurderer det slik at arkivmaterialet ikke kan føres ut av landet. I arkivloven 9 som Riksarkivet viser til, fremgår det at Riksarkivaren kan gjøre unntak gjennom samtykke. Dette innebærer at Riksarkivaren faktisk kan samtykke til at arkiv føres ut av landet. Datatilsynet var opprinnelig skeptisk til bruk av skytjenester, men har etter hvert gjort seg kjent med teknologien og har gått over til å sette fornuftige kriterier for hvordan teknologien skal brukes. Vi mener Riksarkivaren har et juridisk handlingsrom for å velge en tilsvarende tilnærming. At Riksarkivaren velger å ikke benytte denne muligheten vurderes å være lite heldig, særlig med tanke på at formålet med denne bestemmelsen i arkivloven var å sikre at dataene ikke går tapt for ettertiden. Det kan gjøres på tilfredsstillende måte ved at det stilles krav i tilknytning til bruk av skytjenester. -3-

Bokføringsloven Bestemmelsene i Bokføringsloven om oppbevaring av regnskapsmateriale får anvendelse også på regnskapsmateriale i kommuner og fylkeskommuner jf. Forskrift om årsregnskap og årsberetning (for kommuner og fylkeskommuner) FOR-2000-12-15-1424 2. I henhold til bokføringsloven 13 annet ledd, skal som hovedregel regnskapsmaterialet oppbevares i Norge. Dette er med på å begrense muligheten til å bruke skytjenester, hvor leverandørene ikke har servere plassert i Norge. Det finnes imidlertid enkelte unntak, bokføringsmateriale kan oppbevares i Danmark, Sverige, Finland og Sverige, samt i andre land ved dispensasjon fra Skattedirektoratet. Til tross for unntakene, vil bokføringsloven fort være til hinder for bruk av enkelte typer skytjenester. Noe av grunnen til dette er at de store leverandørene ofte ikke tilbyr mulighet for å oppbevare opplysningene i de ovennevnte EØS landene, men på servere andre steder i verden. I tillegg er Skattedirektoratet restriktive med å gi dispensasjon. 3 Hovedfunn i intervjuer kommuner Under denne mulighetsstudien har det blitt foretatt dybdeintervju av Alta, Narvik og Moss kommune. På bakgrunn av disse intervjuene er det klart at kommunene har ulikt syn på bruk av skytjenester. Blant annet vurderte Alta kommune det som for dyrt å ta i bruk skytjenester, fordi ikke alt kunne flyttes i nettskyen, og IT-avdelingen i kommunen ønsker å ha fokus på drift og stabilitet av IT-systemene. Det var også stor skepsis til bruk av skytjenester på grunn av overføring av data til andre land. Narvik kommune har derimot i stor grad tatt i bruk skytjenester, og bruk av skytjenester er en del av kommunen sin strategi. Det fremgår blant annet av deres strategi at bruk av internettbaserte tjenester skal vurderes når det er hensiktsmessig og kostnadsbesparende. Innad i kommunen er det strenge instrukser på at en ikke skal behandle personsensitiv informasjon i skyen. Driverne for at Narvik kommunen har tatt i bruk skytjenester er; økonomi, standardisering, skalerbarhet, ressursdeling og fleksibilitet. Moss kommune har lagt store deler av sine systemer ut i nettskyen og de mener at på kort sikt er det ikke rimeligere å gå over til nettsky, men at det på lang sikt vil lønne seg. For å kunne gjennomføre prosjektet har kommunen hatt en tett dialog med Datatilsynet underveis. De mener at det største hinderet for å ta ut full gevinst ved bruk av skytjenester er arkivloven. For å kunne gå over til nettskyen har det løpende blitt foretatt risikovurderinger av de enkelte elementer som flyttes etter hvert som de i større og større grad har tatt i bruk nettskyløsninger. 4 Hovedfunn intervjuer leverandører I forbindelse med denne mulighetsstudien har det også blitt gjennomført dybdeintervju av fire leverandører av skytjenester; Evry, Microsoft, Visma og Google Norway. -4-

Leverandørenes hovedsynspunkt var at det var stor variasjon i kommunene i forhold til hvor bevisste kommunene er rundt bruk av skytjenester og at det er varierende forståelse av hva som ligger i begrepet skytjenester. Enkelte av leverandørene mener at det er mye usikkerhet og ubegrunnede oppfatninger i kommunene vedrørende lovligheten av bruk av skytjenester og at dette i hovedsak skyldes frykt, usikkerhet og tvil. Usikkerheten rundt bruk av skytjenester har ikke nødvendigvis grunnlag i hvorvidt lovgivningen tillater bruk av skytjenester eller ikke. Leverandørene ga også klart uttrykk for at de ønsker å levere skytjenester til kommunene, og at de i enda større grad kommer til å gå over til å levere tjenester basert på nettsky. I dag legges det ut veldig få offentlige anbud som tilrettelegger for at leverandørene kan tilby sine skytjenester. Slik konkurransegrunnlagene er utformet, vil det være umulig eller svært vanskelig for de enkelte kundene å sammenligne prisene for skytjenester med IKT-tjenester basert på en mer tradisjonell plattform. Dette gjør det vanskelig for leverandørene å kunne tilby skytjenester ved offentlige anbud. Leverandørene ser imidlertid at det har begynt å skje en utvikling på dette området, særlig i de anbudene hvor kunden etterlyser funksjonalitet i stede for tekniske krav. Videre påpeker leverandørene at ut i fra regelverket så er det i hovedsak arkivloven som er det største problemet, dette er blant annet en av grunnene til at et par av leverandørene satser på lagring i Norge i stede for i andre land. 5 Retningslinjer for bruk av skytjenester Utredningen inneholder også retningslinjer for hvilke vurderinger som må gjøres ved bruk av skytjenester, herunder; personopplysningslovens krav til vurdering av dataene som skal legges ut og risikoanalyser som må gjennomføres, krav til sikkerhet, avveining av risiko, vurdering av landrisiko etc. Retningslinjene spesifiserer blant annet hva en må tenke på i den forberedende fasen og ved inngåelse av avtale ved anskaffelser av skytjenester. Videre hvilke forhold en særlig bør være oppmerksom på vedrørende personvern og bruk av skytjenester. Retningslinjene går også inn på hvilke typer informasjon som vanligvis kan være aktuelle å legge inn i en nettskytjeneste, som for eksempel opplysninger av intern administrativ karakter i kommunen. Også personopplysningslovens krav til å etablere og etterleve et internkontrollsystem og sikkerhetsløsninger blir nærmere gjennomgått. Blant annet at det må etableres et system for informasjonssikkerhet, videre må det settes mål for informasjonssikkerheten, hvilket sikkerhetsnivå man skal ha og hvordan bedriften skal arbeide med risikohåndtering. Hvis virksomheten skal ta i bruk nettskyen for tjenester, må systemet for informasjonssikkerhet omfatte vurderinger og tiltak som også omfatter skytjenesteleverandøren med eventuelle underleverandører slik at hele kjeden av leverandører og ikke minst underleverandører er dekket. Retningslinjene inneholder også en matrise for risikovurdering, blant annet et eksempel på en risikotabell og eksempel på en risikovurdering. Disse retningslinjene er utarbeidet som et hjelpeverktøy for kommunene som kan brukes både i forberedelsene og ved gjennomføringen av anskaffelsen av skytjenester. -5-

6 Oppsummering Det er klart at det er et betydelig mulighetsrom for å ta i bruk nettskytjenester i kommunal sektor, men dette kan gjøres enda større ved noen endringer i forvaltningspraksis, særlig hos Riksarkivaren. Når man skal vurdere å ta i bruk nettskytjenester, så er det en rekke vurderinger som må gjennomføres. Det første man må gjøre, er å kartlegge hvilke regelsett som er relevant for de opplysningene som skal legges ut. Slik arkivloven og bokføringsloven tolkes i dag, er det lettest å legge ut opplysninger som ikke omfattes av disse regelverkene. Dersom disse myndighetene endrer praksis, vil omfanget av opplysninger som kan legges i skyen, øke. -6-

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding